[Codebusters] Vulnerability in webcomponenten
Kleykens Sander
sander.kleykens at vlaanderen.be
Fri May 10 16:04:33 CEST 2024
Dag Denis,
Heb je hier al weet van ivm. timing?
Met vriendelijke groeten,
Sander Kleykens
IT-consultant
DEPARTEMENT OMGEVING
Afdeling Strategie, Internationaal, Digitalisering en Organisatie (SIDO)
[cid:09158c26-43ff-4071-858f-bb5ee739e810]
________________________________
Van: Denis Caeyers <denis.caeyers at vito.be>
Verzonden: maandag 22 april 2024 12:01
Aan: Kleykens Sander <sander.kleykens at vlaanderen.be>; Roeland Maes <roeland.maes at vito.be>
CC: Pauwels Kevin <kevin.pauwels at vlaanderen.be>; Vanhoutte Piet <piet.vanhoutte at vlaanderen.be>; Codebusters at list.omgevingvlaanderen.be <codebusters at list.omgevingvlaanderen.be>
Onderwerp: Re: Vulnerability in webcomponenten
Dag Sander,
Ik heb onderstaande doorgestuurd naar onze front-end ontwikkelaars.
Probeer zo snel mogelijk je van een antwoord/timing te voorzien.
Met vriendelijke groeten
Denis
From: Kleykens Sander <sander.kleykens at vlaanderen.be>
Date: Monday, 22 April 2024 at 11:41
To: Roeland Maes <roeland.maes at vito.be>, Denis Caeyers <denis.caeyers at vito.be>
Cc: Kevin PAUWELS <kevin.pauwels at vlaanderen.be>, Vanhoutte Piet <piet.vanhoutte at vlaanderen.be>, Codebusters at list.omgevingvlaanderen.be <codebusters at list.omgevingvlaanderen.be>
Subject: Vulnerability in webcomponenten
Sommige personen die dit bericht hebben ontvangen, ontvangen niet vaak e-mail van sander.kleykens at vlaanderen.be. Meer informatie over waarom dit belangrijk is<https://aka.ms/LearnAboutSenderIdentification>
Beste Roeland en Denis,
Er werd ontdekt dat onze webcomponenten dependencies als het ware 'gehijacked' kunnen worden door op https://www.npmjs.com<https://www.npmjs.com/>, als aanvaller, de packages te claimen en een eigen (hogere) versie te uploaden.
Als je een hoedje hebt staan voor de versie van een relevante package in je package.json, kan men op die manier een nieuwe patch version publishen naar npm js en de build op die manier dwingen om deze nieuwe versie te downloaden en gebruiken.
Ik denk dat TOBE vulnerable is vanwege zijn referentie naar een versie van uig-webcomponents met daarin een hoedje<https://git.omgeving.vlaanderen.be/git/righa/tobe/-/blob/master/tobe-app/src/main/frontend/package.json#L54>. In principe, als je het hoedje weglaat, is het in orde: want dan wordt enkel de versie die op artifactory staat gedownload.
Passen jullie dit aan (en eventueel ook nog op andere plaatsen), aub?
Alvast bedankt!
Met vriendelijke groeten,
Sander Kleykens
IT-consultant
DEPARTEMENT OMGEVING
Afdeling Strategie, Internationaal, Digitalisering en Organisatie (SIDO)
[cid:6add2df0-e3ce-4fa5-9723-ff30b5d78ec7]
VITO Disclaimer: http://www.vito.be/e-maildisclaimer
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://list.milieuinfo.be/pipermail/codebusters/attachments/20240510/f2b24e51/attachment-0001.htm>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Outlook-53ldfnk4.png
Type: image/png
Size: 19040 bytes
Desc: Outlook-53ldfnk4.png
URL: <http://list.milieuinfo.be/pipermail/codebusters/attachments/20240510/f2b24e51/attachment-0002.png>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Outlook-jgn2yo1o.png
Type: image/png
Size: 19040 bytes
Desc: Outlook-jgn2yo1o.png
URL: <http://list.milieuinfo.be/pipermail/codebusters/attachments/20240510/f2b24e51/attachment-0003.png>
More information about the Codebusters
mailing list